云計算所帶來的風險的來龍去脈

責任編輯:editor03

2014-08-29 15:01:35

摘自:中關(guān)村在線

云計算的高速發(fā)展也為試圖重新聚焦關(guān)鍵業(yè)務(wù)目標的企業(yè)帶來了許多利好,例如提高產(chǎn)品上市的速度、增加企業(yè)競爭的優(yōu)勢以及降低資本和/或運行的開支等等。

理解云計算的風險所在是保護以云計算為中心的企業(yè)的關(guān)鍵。在本文中,Ravila Helen White解釋了云計算風險的三個必知內(nèi)容。

云計算的高速發(fā)展也為試圖重新聚焦關(guān)鍵業(yè)務(wù)目標的企業(yè)帶來了許多利好,例如提高產(chǎn)品上市的速度、增加企業(yè)競爭的優(yōu)勢以及降低資本和/或運行的開支等等。

通常來說,對諸如軟件即服務(wù)(SaaS)或基礎(chǔ)設(shè)施即服務(wù)(IaaS)的云計算技術(shù)進行投資就能夠降低對企業(yè)內(nèi)部傳統(tǒng)信息技術(shù)部門的服務(wù)需求。而由企業(yè)業(yè)務(wù)部門管理(例如培訓(xùn)、人力資源、工資和醫(yī)療管理等)的服務(wù)也會隨著云計算的應(yīng)用而逐步減少。

雖然投資資本與運營運行的成本有所降低,但是由于黑暗網(wǎng)絡(luò)中信息經(jīng)紀人的興起云計算的風險也有所增加。這些惡意的組織會交易和銷售包括個人身份、金融信息乃至知識產(chǎn)權(quán)在內(nèi)的所有信息。

從傳統(tǒng)意義上來說,只有保存在公司內(nèi)部的信息才是安全的,因此實施云計算必然會加劇信息泄露的風險。此外,那些專門從事信息中介業(yè)務(wù)的人士也讓云計算供 應(yīng)商成為了他們的目標,因為他們非常了解他們所控制寶庫的相關(guān)信息。為了管理好云計算風險,首先了解風險到底是什么將是非常重要的。

云計算風險的來龍去脈

所謂風險,也就是指我們不希望發(fā)生的事件發(fā)生的概率。在信息安全領(lǐng)域,風險就是一個惡意或非惡意暴露機密信息事件、或威脅數(shù)據(jù)一致性以及干擾系統(tǒng)和信息 可用性事件發(fā)生的概率。任何接入互聯(lián)網(wǎng)的組織都處于風險之中,他們都應(yīng)考慮黑暗網(wǎng)絡(luò)的彈性特性和擴展私有云計算和公共云計算網(wǎng)絡(luò)的能力。數(shù)據(jù)交換有合法的 和非法的,而一家企業(yè)的互聯(lián)網(wǎng)接入就為合法的數(shù)據(jù)交換(例如電子郵件、VPN以及FTP等)以及諸如惡意軟件、信息收集和竊聽等敵對性的數(shù)據(jù)交換提供了的 信息傳輸回路。

敵對數(shù)據(jù)交換并不是一家組織或者甚至個人所希望進行的數(shù)據(jù)交換。通常情況下,其結(jié)果就是等待恢復(fù)的停機時間、收入損失、 數(shù)據(jù)丟失、影響人力資本以及相關(guān)名譽受損。如果某個組織是一個受管制行業(yè)中的一員,那么這個組織就有可能由于發(fā)生敵對事件的原因而受到處罰。即便企業(yè)沒有 受到相關(guān)處罰,但是他們也無法承受因發(fā)生安全事件丑聞而造成客戶流失和商業(yè)合作伙伴失去信心這樣的嚴重后果。

一直以來,云計算所倡導(dǎo)的 就是:我們可以做得更好,更便宜。你來關(guān)注你的核心業(yè)務(wù)問題,而我們來更具成本效益地管理你的技術(shù)并保護你的數(shù)據(jù)。雖然這有可能是真的,但是云計算供應(yīng)商 也與其他企業(yè)面臨著相同的挑戰(zhàn)。鑒于其特殊的業(yè)務(wù)模式,云計算供應(yīng)商可能比一家典型企業(yè)面臨著更多的挑戰(zhàn)。例如,云計算供應(yīng)商可能會迎合一個利基行業(yè),如 信用卡業(yè)。如果大家都知道這家云計算供應(yīng)商掌握了所有客戶持有的信用卡信息,那么它也就會成為黑暗信息經(jīng)紀人的目標。信息經(jīng)紀人會兜售客戶身份或信用卡或 者制造偽造的信用卡,而一個成功的黑客可能會從中受益。

云計算供應(yīng)商的風險還存在于使用云計算服務(wù)的客戶中。無論客戶的物理、邏輯和虛 擬隔離和細分的量有多少,云計算基礎(chǔ)設(shè)施都共享了共同的能源、硬件、應(yīng)用程序以及網(wǎng)絡(luò)資源。當云計算服務(wù)供應(yīng)商提供SaaS服務(wù)時,它會信任企業(yè)用戶并讓 用戶自己確保其用戶ID和密碼的安全性。與之類似,用于訪問SaaS的計算資源也必須是安全的。如果企業(yè)用戶遭到入侵,諸如用戶ID和密碼等信息被泄露, 那么一個經(jīng)驗豐富的信息收集者就有可能會憑此訪問SaaS應(yīng)用程序并確定訪問其他客戶數(shù)據(jù)的方法。頃刻之間,其它企業(yè)用戶的云計算環(huán)境的保密性、完整性以 及可用性都岌岌可危了。

最后的風險就存在于云計算供應(yīng)商及其技術(shù)專業(yè)的水平了。供應(yīng)商們必須接受風險轉(zhuǎn)移,并理解和遵守相關(guān)規(guī)定。他們 也面臨著與其他所有企業(yè)相同的挑戰(zhàn),其中尤其是吸引和留住人才。當人力資本不再是云計算供應(yīng)商成功吸引和留住人才的主要因素時,整個云計算環(huán)境就有可能由 于一個蟻穴而崩潰。缺乏可擴展性、無法提供豐富的功能集或者無法提供足夠的安全性和私密性保障都會影響云計算供應(yīng)商吸引和留住客戶的能力。

風險轉(zhuǎn)移是云計算的一個組成部分,因為供應(yīng)商必須以合同協(xié)議的形式承諾提供一定的服務(wù)水平。該服務(wù)的一部分涉及到確保信息資產(chǎn)的安全性。如果由于云計算 供應(yīng)商未能對行業(yè)最佳實踐和法規(guī)開展盡職的調(diào)查而發(fā)生相關(guān)惡性事件,那么它就應(yīng)負責通知受事件影響的相關(guān)人員并展開訴訟行動。一家云計算供應(yīng)商必須做好準 備通過審核和認證,以確認其云計算基礎(chǔ)設(shè)施將仍然保持可用性和安全性。它還必須為響應(yīng)安全事件而做好準備。即便他們的初衷是良好的,但是諸如零日漏洞攻擊 這樣的事件還是會發(fā)生,并滲透到最佳安全架構(gòu)中。

同樣,了解必要的法規(guī)也是非常重要的。出于隱私性方面的考慮,金融誠信和國家安全組織 通常至少必須遵守一項規(guī)定。大多數(shù)的組織都會有多個規(guī)定需要遵守。以下,讓我們來看看一個管理信用卡數(shù)據(jù)的全國性組織的例子。這家組織必須遵守聯(lián)邦政府的 要求以及那些可能比聯(lián)邦法律更為嚴格的特定地區(qū)法規(guī)。而全球性組織則還需增加一層復(fù)雜性,即他們必須遵守美國的法規(guī)以及他們開展業(yè)務(wù)的所在國家的國際性法 規(guī)。云計算供應(yīng)商們必須在理解法規(guī)以及如何遵守法規(guī)方面有大的投入,因為他們的違規(guī)也意味著企業(yè)用戶的違規(guī),而他們有為他們的客戶和法規(guī)提供合規(guī)性保障的 最終責任。

風險的三項內(nèi)容

業(yè)務(wù)專家理解和接受與云計算客戶和云計算供應(yīng)商相關(guān)的 風險。無論你擔任了什么樣的角色,要管理什么樣不想要發(fā)生的潛在事件,都必須實施風險管理。在云計算關(guān)系的特定情況下,雙方的風險管理工作都是必要的,其 中企業(yè)用戶和云計算供應(yīng)商都必須擁有成熟的風險管理計劃。成熟度是通過一個有管理、有周期性報告以及維持低風險狀態(tài)定量證據(jù)的計劃來證明的。

而風險管理則是通過三個內(nèi)容來實現(xiàn)的:風險識別、風險評估以及風險控制。

·風險識別——企業(yè)用戶必須明確通過云計算投資引入的各種風險。這就能夠讓企業(yè)確保在云計算服務(wù)采購過程中務(wù)必執(zhí)行必要的業(yè)務(wù)控制措施。此外,還應(yīng)創(chuàng)建和/或更新合適的過程以支持由于云計算相關(guān)停用而造成的中斷事件。

云計算供應(yīng)商必須識別風險以確定它最好能夠提供哪些云計算服務(wù)。一些供應(yīng)商可能會確定他們更喜歡服務(wù)某個特定的行業(yè),因此而成為一個利基供應(yīng)商,從而減少監(jiān)管環(huán)境。為各種行業(yè)的用戶提供云計算服務(wù)所帶來的風險可能會過高。

·風險評估——一家企業(yè)用戶必須了解它的哪些資產(chǎn)價值過高而不能冒把它們外包給第三方服務(wù)供應(yīng)商的風險。相反,當?shù)谌焦?yīng)商的專業(yè)人士能夠管理和保護好數(shù)據(jù)時,此舉可有助于企業(yè)用戶認識到第三方供應(yīng)商能夠提供更好的服務(wù)并保護目標的豐富資產(chǎn)。

·風險控制——一旦風險已通過識別、評估并進行了量化,我們就可以選擇合適的控制措施以便于進行風險控制。在云計算模式中,這是一個需要云計算客戶和供 應(yīng)商共同分擔的責任,因此他們雙方應(yīng)具有互補的風險管理程序。為云計算供應(yīng)商的應(yīng)用程序控制設(shè)定期望是云計算用戶的責任。而作為云計算供應(yīng)商,他們應(yīng)當根 據(jù)用戶的期望來確保控制措施的實施與維護,并為服務(wù)等級協(xié)議和合規(guī)性需求控制提供認證。

對于一些人來說,云計算是有風險的,因為他們認 為企業(yè)用戶需要把企業(yè)的資產(chǎn)托付給第三方進行照顧、維護以及保護。但是,鑒于云計算技術(shù)在諸如醫(yī)療保健、電子商務(wù)以及政府管理等領(lǐng)域已得到的高度認可,大 家都希望它能夠繼續(xù)保持作為一個降低成本和簡化業(yè)務(wù)運行的外包技術(shù)的特色。使用云計算的第一步就是要了解其風險以及應(yīng)如何進行風險管理。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號